gallery/logo

DCC NetWorks AG

Business Services  and consulting

Aktuelle informationen

Erpressung macht sich breit

Ramsomware mit neuen Tricks und Techniken

Erpressung macht sich breit

Das Jahr 2017 brachte einige entscheidende Neuerungen bei Erpressungstrojanern. Insbesondere Firmen und Behörden stehen stärker im Fokus der Kriminellen als je zuvor.

Die Erpressung mit verschlüsselten Daten hat sich seit 2016 als einer der profitabelsten Geschäftsbereiche der Malware-Szene etabliert. Kein Wunder: Anders als etwa beim Online-Banking-Betrug sind sowohl die technischen als auch die organisatorischen Anforderungen so niedrig, dass auch minderbegabte Kleinkriminelle auf den Zug aufspringen können: Software, die Dateien verschlüsselt, und ein Bitcoin-Konto sind kein Hexenwerk – und außerdem im Rahmen von Angeboten zu „Ransomware as a Service“ bereits im Paket mit dabei.

Doch 2017 hat sich einiges getan. Die wohl größte Neuerung ist die Form der Verbreitung: Klassiker wie Locky & Co. landen primär über E-Mails bei den potenziellen Opfern; sogenannte Drive-by-Infektionen durch Webseiten mit Schadcode sind der zweite wichtige Weg, auf dem Ransomware Systeme der Opfer infiziert. WannaCry jedoch nutzte im Mai erstmals eine Windows-Lücke aus dem NSA-Arsenal (EternalBlue), um sich wie ein Wurm selbsttätig im Netz weiter zu verbreiten. Die Infektion erfolgte völlig ohne Zutun der Anwender. Noch hinterhältiger war NotPetya, der heimlich über den Update-Mechanismus einer legitimen Software auf das System kam. Von dort aus verbreitete er sich ebenfalls über die EternalBlue-Lücke im Windows SMB-Stack weiter. Doch diese beiden Formen der Verbreitung werden wohl die Ausnahme bleiben. Wurm-taugliche Sicherheitslücken in PCs sind sehr selten und Malware über reguläre Updates einzuschleusen lässt sich ebenfalls nicht beliebig wiederholen.

 

Wir schaffen verbindungen

24/7

25

200%

Years of Experience

Technical support

Mehrwert

Services

Erpressung und Spionage

Allerdings sehen Malware-Analysten mittlerweile vermehrt Angriffe auf Firmen, die primär das Ziel haben, dort Erpressungstrojaner zu platzieren. Das sind dann beispielsweise angebliche Bewerbungen, die sich auf tatsächliche Stellenanzeigen der Firma beziehen und an die Personalabteilung adressiert sind. Nachdem der Rechner des Personalers infiziert wurde, breiten sich die Angreifer von dort aus weiter im Netz aus, suchen und übernehmen Systeme mit wichtigen Daten und verschlüsseln Dateien dann sehr koordiniert überall gleichzeitig. Ein weiteres, aktiv genutztes Einfallstor sind Remote-Desktop-Dienste (RDP). Die Crysis-Gang sucht in großem Stil erreichbare RDP-Ports und versucht deren Zugangsschutz mit einfachen Passwörtern auszuhebeln. Haben sie damit Erfolg, laden sie die Crysis-Ransomware herunter und infizieren das System.

 

Sichern Melden Sie sich im Verdachtsfall.

gallery/image-1514897587522176
gallery/tn_wannacry._dwo_sctif